20 Overtredelsesgebyr
20.1 Gjeldende rett
Personopplysningsloven § 46 har bestemmelser om overtredelsesgebyr. Datatilsynet kan ilegge overtredelsesgebyr for overtredelser av personopplysningsloven eller forskriften med et beløp inntil ti ganger folketrygdens grunnbeløp. Den 1. mai 2017 tilsvarte dette et maksimumsbeløp på 936 340 kroner. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Personopplysningsloven § 46 annet ledd angir momenter det skal legges vekt på i vurderingen av om det skal ilegges overtredelsesgebyr og ved utmålingen av gebyrets størrelse. Det skal legges vekt på overtredelsens alvor, graden av skyld, om overtredelsen kunne vært forebygget, om overtredelsen er begått for å fremme overtrederens interesser, om overtrederen har eller kunne oppnådd fordeler, om det foreligger gjentakelse, om det er ilagt andre reaksjoner som følge av overtredelsen og overtrederens økonomiske evne.
Tredje ledd fastsetter at oppfyllelsesfristen er fire uker fra vedtaket om overtredelsesgebyr er endelig. I motsetning til hovedregelen ved domstolsprøving av forvaltningsvedtak kan domstolene prøve alle sider av saken.
Ved lov 27. mai 2016 nr. 15 ble det vedtatt nye bestemmelser om administrative sanksjoner i forvaltningsloven, jf. §§ 43 til 50. Loven trådte i kraft 1. juli 2017. Reglene gjelder for administrative sanksjoner som anses som straff etter den europeiske menneskerettskonvensjon. Bestemmelsene gir ikke selv hjemmel for overtredelsesgebyr eller andre administrative sanksjoner, men gir enkelte felles regler når særlovgivningen fastsetter slik hjemmel. Blant annet gis det regler om hvilke momenter som kan tillegges vekt i vurderingen av om det skal gis overtredelsesgebyr og utmålingen, jf. §§ 44 og 46, samordning av sanksjoner i de tilfellene lovgivningen åpner både for straff og administrative sanksjoner, plikt til å orientere om taushetsrett mv., plikt til å underrette om sakens utfall og domstolens kompetanse ved prøving av vedtak om administrative sanksjoner.
20.2 Forordningen
Forordningen artikkel 83 regulerer overtredelsesgebyr. Artikkel 83 nr. 1 fastslår at de nasjonale tilsynsmyndigheter skal sikre at overtredelsesgebyr i den enkelte sak skal være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
Artikkel 83 nr. 2 angir momenter det skal legges vekt på i vurderingen av om det skal ilegges overtredelsesgebyr og ved utmålingen av gebyrets størrelse. Det skal legges vekt på karakteren, alvorlighetsgraden og varigheten av overtredelsen, om overtredelsen er begått forsettlig eller uaktsomt, eventuelle tiltak som er truffet for å begrense skaden, graden av ansvar under hensyntagen til de tekniske og organisatoriske tiltak som er gjennomført, eventuelle tidligere relevante overtredelser, graden av samarbeid med tilsynsmyndigheten, hvilke kategorier av personopplysninger som påvirkes av overtredelsen, på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, om tidligere advarsler, irettesettelser eller pålegg fra tilsynsmyndigheten i samme sakskompleks er fulgt, og om godkjente atferdsregler eller godkjente sertifiseringsmekanismer er overholdt. Det fremgår at opplistingen ikke er uttømmende og at det også kan legges vekt på andre momenter, herunder om overtrederen har hatt økonomiske fordeler ved overtredelsen.
Artikkel 83 nr. 4 fastslår at overtredelser av den behandlingsansvarliges og databehandlerens forpliktelser etter forordningen artikkel 8 (barns samtykke), artikkel 11 (behandling som ikke krever identifikasjon), artikkel 25 til 39 om deres generelle forpliktelser, personopplysningssikkerhet, vurdering av personvernkonsekvenser og personvernombud samt artikkel 42 og 43 om sertifisering skal sanksjoneres med et gebyr opptil 10 millioner euro, eller hvis det er tale om foretak, opptil 2 % av den samlede globale årsomsetningen i forutgående regnskapsår hvis denne er høyere. Det samme gjelder for sertifiseringsorganets overtredelser av artikkel 42 og 43 og, dersom det er opprettet et eget tilsynsorgan for å kontrollere overholdelse av atferdsnormer, for dette organets overtredelse av artikkel 41 nr. 4 om tiltak for å sikre at behandlingsansvarlig eller databehandler overholder atferdsnormene.
Ved overtredelse av artikkel 5, 6, 7 og 9 om de grunnleggende prinsippene for behandling av personopplysninger, artikkel 12 til 22 om de registrertes rettigheter eller artikkel 44 til 49 om overføring av personopplysninger til en mottager i en tredjestat, kan det ilegges et overtredelsesgebyr på opptil 20 millioner euro, eller hvis det er et foretak, opp til 4 % av den samlede globale årsomsetningen i forutgående regnskapsår hvis denne er høyere. Det samme gjelder for overtredelse av nasjonale regler gitt i medhold av forordningen kapittel IX om særlige behandlingssituasjoner, og dersom en behandlingsansvarlig eller databehandler ikke overholder et pålegg fra tilsynsmyndigheten gitt i medhold av artikkel 58 nr. 2 eller ikke gir tilgang etter artikkel 58 nr. 3.
Dersom det ilegges overtredelsesgebyr for flere overtredelser, skal overtredelsesgebyret ikke overstige maksimumsbeløpet for den mest alvorlige overtredelsen, jf. artikkel 83 nr. 3.
Forordningen overlater til medlemsstatene å fastsette om overtredelsesgebyr skal kunne ilegges offentlige myndigheter og organer, jf. artikkel 83 nr. 7. Det overlates også til nasjonal rett å fastsette prosessuelle rettigheter, herunder effektive rettsmidler og rett til en rettferdig rettergang, jf. artikkel 83 nr. 8.
20.3 Forslaget i høringsnotatet
20.3.1 Hvilke overtredelser skal kunne sanksjoneres med overtredelsesgebyr?
Departementet la i høringsnotatet til grunn at forordningen åpner for at overtredelse av også andre artikler enn de som fremgår av artikkel 83 kan sanksjoneres med overtredelsesgebyr. På denne bakgrunn foreslo departementet at også artikkel 10 og 24 skal kunne sanksjoneres med overtredelsesgebyr og at artikkel 83 nr. 4 skulle gis tilsvarende anvendelse i disse tilfellene.
20.3.2 Overtredelsesgebyr ved overtredelse av særlovgivningen
I høringsnotatet viste departementet til at Datatilsynets kompetanse til å ilegge overtredelsesgebyr etter forordningen artikkel 83 bare knytter seg til forordningens regler, med den følge at Datatilsynet ikke kan benytte artikkel 83 til å ilegge overtredelsesgebyr direkte for overtredelse av bestemmelser i særlovgivningen. Et unntak fra dette er likevel nasjonale bestemmelser gitt med grunnlag i kapittel IX, for eksempel om behandling i arbeidsforhold, som kan sanksjoneres direkte med grunnlag i artikkel 83 nr. 5 bokstav d. Samtidig viste departementet til at behandling som er i strid med bestemmelser i særlovgivningen i mange tilfeller også vil være overtredelser av bestemmelser i forordningen og derfor vil kunne sanksjoneres som overtredelse av forordningen, og at det på denne bakgrunn ofte kan være unødvendig å gi hjemmel for overtredelsesgebyr i særlover som har bestemmelser om behandling av personopplysninger.
20.3.3 Overtredelsesgebyr mot offentlige myndigheter
Forordningen lar det være opp til nasjonal rett å bestemme om Datatilsynet skal ha adgang til å ilegge overtredelsesgebyr mot offentlige myndigheter, og departementet foreslo på denne bakgrunn i høringsnotatet å videreføre gjeldende rettstilstand om at Datatilsynet har adgang til å ilegge overtredelsesgebyr mot offentlige myndigheter.
20.3.4 Saksbehandlingsregler ved ileggelse av overtredelsesgebyr
Departementet viste i høringsnotatet til at forordningen åpner for å gi nasjonale regler om saksbehandling ved ileggelse av overtredelsesgebyr utover de regler som følger av forordningen, men foreslo ingen egne bestemmelser om dette. Departementet foreslo i høringsnotatet å videreføre gjeldende rettstilstand om at oppfyllelsesfristen for overtredelsesgebyr er fire uker fra vedtaket er endelig.
20.3.5 Domstolsprøving og inndriving
For så vidt gjelder domstolsprøving av vedtak om overtredelsesgebyr, foreslo departementet en bestemmelse i lovutkastet § 22 annet ledd om at domstolen kan prøve alle sider av saken, og avsi realitetsdom dersom den finner det hensiktsmessig og forsvarlig.
Departementet la til grunn at det er unødvendig å innta en egen bestemmelse om tvangskraft i personopplysningsloven, da det følger av tvangsfullbyrdelsesloven § 7-2 første ledd bokstav d at administrativ sanksjon truffet av offentlig myndighet med hjemmel i lov anses som tvangsgrunnlag for utlegg. Departementet foreslo på denne bakgrunn å ikke videreføre bestemmelsen i personopplysningsloven 47 a.
20.3.6 Foreldelse
Departementet foreslo ingen regler om foreldelse i høringsnotatet, men ba om høringsinstansenes syn på om det bør innføres en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr og hvor lang denne i så tilfelle bør være. Noen slik foreldelsesfrist følger ikke av forordningen, og heller ikke av forvaltningslovens alminnelige regler. For så vidt gjelder foreldelse av selve overtredelsesgebyret, viste departementet til at dette vil følge de alminnelige reglene i foreldelsesloven, og at det derfor ikke anses nødvendig med egne regler om dette.
20.4 Høringsinstansenes syn
20.4.1 Hvilke overtredelser skal kunne sanksjoneres med overtredelsesgebyr?
Høringsinstansene har vært delt i synet på om Datatilsynet bør gis adgang til å ilegge gebyr for overtredelse av artikkel 10 og 24 i tillegg til de overtredelsesgebyrene som forordningen artikkel 83 hjemler direkte. Landsorganisasjonen i Norge, Statens sivilrettsforvaltning, Vestfold fylkeskommune og Brækhus Advokatfirma DA støtter at Datatilsynet gis adgang til å ilegge gebyr for overtredelse av artikkel 10 og 24. Brønnøysundregistrene støtter at Datatilsynet gis adgang til å ilegge gebyr for overtredelse av artikkel 10. Datatilsynet uttaler at de ikke har merknader til forslaget som åpner for å ilegge overtredelsesgebyr for overtredelse av forordningen artikkel 10 og 24.
Statens sivilrettsforvaltning uttaler:
«Sett hen til typen personopplysninger som reguleres i artikkel 10, ved at disse kan være av stor betydning for den enkeltes integritet, finner vi at også overtredelser av denne bestemmelsen bør kunne ilegges gebyr. Statens sivilrettsforvalting er av den oppfatning at vilkårene for overtredelsesgebyr, samt sanksjonens karakter, vil virke allmennpreventivt i større grad enn erstatningsansvaret etter artikkel 82. Videre er det enklere tilgjengelig for den registrerte å klage til Tilsynsmyndigheten enn å anlegge sak for domstolen, jf. artikkel 79.
Vedrørende artikkel 24 er Statens sivilrettsforvaltning enig med departementet i at artikkelen favner noe bredere enn artiklene 25 og 32. Sett i sammenheng med hvilke andre artikler som er omfattet, synes det rimelig at også behandlingsansvarliges ansvar etter artikkel 24 omfattes.»
Direktoratet for forvaltning og IKT uttrykker skepsis mot at Datatilsynet skal ha adgang til å ilegge overtredelsesgebyr for overtredelse av artikkel 24. Direktoratet for forvaltning og IKT viser til at det blir krevende å etablere en forutsigbar tilsynspraksis ettersom artikkel 24 gir anvisning på en rekke skjønnsmessige faktorer. Videre stiller direktoratet spørsmål ved om det reelt sett er behov for å kunne ilegge sanksjoner for overtredelse av artikkel 24, og peker på at en særnorsk bestemmelse også vil føre til norsk og europeisk tilsynspraksis blir forskjellig.
Politidirektoratet uttaler at de slutter seg til Kripos’ vurdering om at det nærmere innholdet og kravene i artikkel 10 og 24 er så uklare at brudd på disse, på det nåværende tidspunktet, ikke bør sanksjoneres.
Norsk senter for forskningsdata støtter forslaget om å kunne sanksjonere brudd på artikkel 10, men går imot forslaget om å kunne sanksjonere artikkel 24. Norsk senter for forskningsdata uttaler:
«Vi gjør oppmerksom på at forslaget om sanksjonsmulighet for brudd på art. 24, skiller seg fra lovforslagene i de andre nordiske landene. Etter hva vi kan se, foreslår verken Danmark, Sverige eller Finland en tilsvarende bestemmelse. Vi ser at en slik bestemmelse kan virke skjerpende på institusjonenes etterlevelse av loven, men vil påpeke at de fleste vil ha vansker med å kunne dokumentere fullstendig «compliance» med regelverket. I lys av at Datatilsynet gjerne bruker tilsyn ved enkeltinstitusjoner for å «sette eksempler», kan en slik bestemmelse kombinert med forordningens høye overtredelsesgebyrer ramme hardt og tilfeldig. Vi anbefaler at Norge følger de nordiske landene på dette området.»
Virke uttaler at det er tvilsomt om artikkel 84 overhodet gir adgang til å utvide artikkel 83 til også å omfatte artikkel 10 og 24. Uansett mener Virke at en slik utvidelse av anvendelsesområdet for artikkel 83 er uheldig, idet dette vil innebære en ytterligere skjerping av et sanksjonsregime som allerede er vesentlig strengere enn etter dagens regler.
20.4.2 Overtredelsesgebyr ved overtredelse av særlovgivningen
Ingen høringsinstanser har hatt merknader til dette.
20.4.3 Overtredelsesgebyr mot offentlige myndigheter
En rekke høringsinstanser har uttalt seg om hvorvidt det bør kunne ilegges overtredelsesgebyr mot offentlige myndigheter. Høringsinstansene har generelt vært positive til at overtredelsesgebyr skal kunne ilegges mot offentlige myndigheter, men flere offentlige høringsinstanser har tatt til orde for at overtredelsesgebyret som kan ilegges mot offentlige myndigheter, beløpsmessig bør begrenses. Én høringsinstans tar til orde for at offentlige myndigheter ikke bør kunne ilegges overtredelsesgebyr overhodet.
Datatilsynet og Landsorganisasjonen i Norge støtter forslaget om at overtredelsesgebyr skal kunne ilegges offentlige myndigheter. Arbeidsgiverforeningen Spekter støtter også forslaget og uttaler at det prinsipielt er vanskelig å argumentere for en forskjellsbehandling av privat og offentlig sektor på dette området. Videre uttaler Arbeidsgiverforeningen Spekter at det nok ikke er gebyr som er det viktigste overfor offentlige virksomheter, og at faren for omdømmetap og konsekvensene for tilliten brukerne har til tjenesteleverandøren nok er vel så viktig. Næringslivets Hovedorganisasjon støtter også forslaget og uttaler at det ut fra formålet med reglene i forordningen ikke er noen grunn til at offentlige myndigheter ikke skal være omfattet av sanksjonsordningen. Også Politidirektoratet støtter forslaget og uttaler at de er enig med departementet i at det ikke er noen grunn til å skille mellom private og offentlige behandlingsansvarlige når det gjelder muligheten for å bli ilagt overtredelsesgebyr.
Direktoratet for forvaltning og IKT, Oslo kommune og Statnett SF uttrykker skepsis mot at offentlige myndigheter skal kunne ilegges overtredelsesgebyr av samme størrelse som private. Direktoratet for forvaltning og IKT mener at dagens beløpsgrense på ti ganger grunnbeløpet bør videreføres for så vidt gjelder overtredelsesgebyr mot det offentlige. Direktoratet uttaler i denne forbindelse:
«Ettersom gebyrene tilfeller statskassen, vil effekten av gebyrene ikke være en utgift for forvaltningen samlet sett, men gebyret fungerer som en omfordelingsmekanisme (internt i staten eller fra kommune til stat). Desto større gebyret er, desto mer vil det fungere som et inngrep i politiske myndigheters prioritering av ressurser for å løse forvaltningsoppgaver. Det er uheldig.
Videre vil overtredelsesgebyrets størrelse kunne påvirke organets prioritering av etterlevelsen av ulike regelverk. Internkontrollen i virksomheten skal innrettes basert på vesentlighet og risiko, slik at lover og regler følges og virksomhetens mål oppnås; for staten fremgår dette av økonomireglementet § 4, jf. første og tredje ledd. En videreføring av dagens beløpsgrenser vil opprettholde balansen mellom de ulike regelverkene, og holde overtredelsesgebyret på nivå med gebyrnivået fra andre tilsynsorganer. Vi viser her til at arbeidsmiljøloven åpner for overtredelsesgebyr inntil 15G (<1,5 mill NOK, aml § 18-10 første ledd), mens plan- og bygningsloven setter grensen ved 400 000 for ett tiltak (grense i forskriften § 16-1 i.f.).»
Oslo kommune uttaler at konsekvensen av et høyt bøtenivå for offentlige myndigheter vil kunne bli svært alvorlig og vil kunne påvirke evnen til å levere andre samfunnskritiske tjenester. Oslo kommune viser til at det særlig sett hen til den uklarheten som foreløpig eksisterer rundt omfanget av de nye kravene i forordningen, anses lite hensiktsmessig at offentlige myndigheter allerede fra ikrafttredelse av loven skal kunne pålegges overtredelsesgebyrer. Det antas at samfunnet totalt sett vil være bedre tjent med at det ikke innføres slike overtredelsesgebyrer overfor offentlig sektor i den første perioden etter at ny personopplysningslov trer i kraft.
StatnettSF uttaler:
«Statnett er generelt opptatt av at man begrenser bruken av store bøter for offentlige institusjoner og virksomheter for brudd på regelverk. Innenfor vår kategori av virksomheter er tap i omdømme uansett den viktigste følgen av regelbrudd, og båndlegging av midler til dekning av svært store bøter vil bare ramme øvrig drift og tjenester som skal komme publikum og samfunnet for øvrig til nytte. Bøtenivået som er foreslått er vesentlig høyere enn det som er vanlig i Norge. At brudd på dette regelverket skal gi uforholdsmessig høye reaksjoner sammenlignet med brudd på andre regelverk er i seg selv uheldig. Dette vil i sin tur kunne føre til en inflasjon i bøtenivået som vil være enda mer utfordrende for offentlige aktører.»
KS mener at offentlige myndigheter ikke bør kunne ilegges overtredelsesgebyr overhodet og uttaler at samfunnet totalt sett vil være best tjent med at det ikke innføres overtredelsesgebyrer overfor offentlig sektor i den første perioden hvor ny personopplysningslov gjelder.
20.4.4 Saksbehandlingsregler ved overtredelsesgebyr
Kun et fåtall høringsinstanser har uttalt seg om saksbehandlingsreglene ved ileggelse av overtredelsesgebyr.
Næringslivets Hovedorganisasjon omtaler forholdet til Grunnloven § 96 og uttaler i den forbindelse:
«Vi forstår forordningen artikkel 83 slik at overtredelsesgebyr må være en av sanksjonene mot overtredelser. Departementet drøfter knapt forholdet mellom Grunnloven § 96 og overtredelsesgebyret. Vi mener en grundig drøftelse ville vært nærliggende når det er snakk om en hjemmel som vil gjelde omtrent alle norske virksomheter og med en så høy ramme for beløp. Vi er enig i at det ikke er tvilsomt at ordningen med overtredelsesgebyr er omfattet av EMK. Når departementet i punkt 25.3 skriver at «mange av forordningens bestemmelser er svært skjønnspregede og dermed lite egnet for straffesanksjonering», mener vi at dette ikke gjelder mye mindre for sanksjoner i form av overtredelsesgebyr. Departementets synspunkt gjør det nærliggende med like sterke rettssikkerhetsgarantier i en sak om overtredelsesgebyr som om saken skulle ha gjeldt straff.»
Skattedirektoratet uttaler at forordningen åpner for overtredelsesgebyr med betydelige beløp, og at det på nåværende tidspunkt er vanskelig å vite hvordan fremtidig praksis vil bli. Videre uttaler Skattedirektoratet:
«Artikkel 10 og 24 åpner for skjønnsmessige vurderinger av hva som er tilstrekkelig for å overholde reglene. Hvis overtredelsesgebyr skal kunne ilegges ved overtredelse av reglene foreslår Skattedirektoratet at behandlingsansvarlig og eventuell databehandler mottar et varsel. Varselet kan inneholde informasjon om overtredelsesgebyr, gebyrets størrelse og frist for utbedring for å unngå gebyr. En slik løsning kan virke preventivt, bidra til rask retting og medføre økt grad av forutsigbarhet for behandlingsansvarlig og databehandler.»
Regnskap Norge mener at oppfyllelsesfristen på fire uker for overtredelsesgebyr i lovutkastet § 22 første ledd i noen situasjoner kan være knapp tid, og anbefaler at Datatilsynet i stedet gis anledning til å vurdere dette konkret ut fra situasjonen, for eksempel ved at fristen settes til minimum fire uker fra vedtaket er endelig.
20.4.5 Domstolsprøving og inndriving
Kun én høringsinstans har uttalt seg om domstolsprøving av vedtak om overtredelsesgebyr. Landsorganisasjonen i Norge uttaler at de ikke har noen innsigelser til at domstolen skal kunne avsi realitetsdom og ikke bare dom om gyldigheten av vedtaket. Videre uttaler Landsorganisasjonen i Norge at det er positivt med en raskere saksbehandling, og at dette normalt ikke vil gå på bekostning av rettssikkerheten.
20.4.6 Foreldelse
Høringsinstansene har generelt vært positive til at det gis regler om foreldelse av adgangen til å ilegge overtredelsesgebyr. Høringsinstansene har vært delt i synet på foreldelsesfristens lengde, men en rekke høringsinstanser trekker frem reguleringen i konkurranseloven som en mulig modell for foreldelsesregler i personopplysningsloven. Kun én høringsinstans mener det ikke bør gis foreldelsesregler.
Politidirektoratet uttaler at de er enig med Kripos i at det bør innføres en foreldelsesfrist for muligheten til å ilegge overtredelsesgebyr, og at lengden på fristen bør settes i samsvar med sammenlignbare bestemmelser.
Arbeidsgiverforeningen Spekter mener også at det det bør innføres foreldelsesregler om adgangen til å legge overtredelsesgebyr. Arbeidsgiverforeningen Spekter viser til at det økte nivået for maksimal størrelse for ileggelse av gebyrene vil kunne ramme virksomheter hardt, slik at rask avklaring og forutberegnelighet vil bli av større betydning enn tidligere. Arbeidsgiverforeningen Spekter uttaler at en eventuell foreldelsesfrist vil måtte balansere hensynet til forutberegnelighet og gode rammevilkår for utarbeidelse av beslutningsgrunnlag, og ettersom en foreldelsesfrist ikke har vært praktisert frem til i dag, bør spørsmålet om fristens lengde og beregning utredes nærmere før en slik frist eventuelt fastsettes.
Brækhus Advokatfirma DA mener en foreldelsesfrist på fem år er en passende lengde, men at det bør vurderes om det skal skilles mellom mindre og mer alvorlige overtredelser etter modell av konkurranselovgivningen med henholdsvis fem og ti års foreldelsesfrist. Advokatfirmaet uttaler at det på generelt grunnlag er en rekke hensyn som taler for at det fastsettes en foreldelsesfrist for ileggelse av administrative sanksjoner. Det vises til at hensynet til rettssikkerhet og hensynet til de berørte aktørenes forutsigbarhet, avklaring og innrettelse er særlig fremtredende, men at også hensynet til forvaltningens effektivitet og ressursbruk til en viss grad gjør seg gjeldende.
Juristforbundet mener at det bør fastsettes en foreldelsesfrist på henholdsvis ti år og fem år for ileggelse av overtredelsesgebyr etter modell av foreldelsesreglene i konkurranseloven § 29, og viser i denne forbindelse til hensynet til forutsigbarhet for virksomhetene. Juristforbundet uttaler at dersom departementet ikke viderefører straffebestemmelser for brudd på personopplysningsloven, bør foreldelsesfristen for ileggelse av overtredelsesgebyr som hovedregel være ti år og unntaksvis fem år.
Statens sivilrettsforvaltning uttaler at det av hensyn til den behandlingsansvarliges forutberegnelighet anses hensiktsmessig å innføre en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr. Statens sivilrettsforvaltning gir ikke uttrykk for hvor lang fristen bør være, men viser til at fristens lengde vil avhenge av hva som er utgangspunktet for fristen. Dersom fristen starter å løpe fra det tidspunkt den registrerte er blitt kjent med misligholdet, mener Statens sivilrettsforvaltning at det kan være hensiktsmessig at fristen er kortere enn om fristen starter å løpe fra tidspunktet for da misligholdet inntrådte.
Telia Norge AS støtter at det innføres en foreldelsesfrist og viser til at utover de mer alminnelige hensynene bak foreldelsesinstituttet, vil krenkelser av personvernet ofte ha mindre betydning for de registrerte dersom hendelsene er langt tilbake i tid, eksempelvis fordi de aktuelle opplysningene allerede er slettet av den behandlingsansvarlige i henhold til ordinære sletterutiner. Telia Norge AS foreslår at foreldelsesfristen settes på samme måte som overtredelsesgebyr etter konkurranseloven, det vil si med en frist på ti år fra den dag overtredelsen er opphørt.
Næringslivets Hovedorganisasjon uttaler at det er åpenbart at loven må ha en regel om foreldelse av sanksjonerbare forhold og uttaler at den begrunnelse som vanligvis gjelder for regler om foreldelse, vil gjelde fullt ut i saker etter personopplysningsloven. Videre viser Næringslivets Hovedorganisasjon til Justiskomiteens merknader i Innst. 243 L (2015–2016) om Endringer i forvaltningsloven mv. (administrative sanksjoner mv.), hvor komiteen uttaler at det ved forberedelse av nye særlover eller endring av disse bør inngå bestemmelser om foreldelse.
Datatilsynet støtter at det bør være en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr og anbefaler at dette utredes nærmere. Datatilsynet uttaler at de viktigste problemstillingene å ta stilling til er når fristen begynner å løpe fra, fristens varighet og når fristen avbrytes. Datatilsynet viser til at i europeisk sammenheng har foreldelse vært et viktig spørsmål som medlemsland, ofte etter inspirasjon fra nasjonal særlovgivning på andre områder, har løst på ulike måter. For eksempel trekkes konkurranselovgivningen ofte frem som relevant regelsett å sammenligne med.
Vestfold fylkeskommune mener at det bør innføres en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr og uttaler at dersom lovens regler straffesanksjoneres, bør foreldelsesfristen for å ilegge gebyr korrespondere med straffelovens regler om foreldelse.
Norsk rikskringkasting mener det bør innføres en foreldelsesfrist og viser til at foreldelse av ansvar er en rettsikkerhetsgaranti.
Skattedirektoratet mener det bør innføres en foreldelsesfrist for behandlingsansvarlig og databehandler på seks måneder eller ett år.
KS mener at det ikke bør være adgang til å ilegge overtredelsesgebyr to år etter at overtredelsen er opphørt, tilsvarende reguleringen i akvakulturloven § 30 sjette ledd. Foreldelsesfristen bør avbrytes ved forhåndsvarsel eller vedtak om overtredelsesgebyr. KS viser til at overtredelsesgebyrene økes betydelig ved personvernforordningen for private og offentlige aktører, og at en regulering av foreldelsesfrist anses som en av flere rettsikkerhetsgarantier.
LO mener det ikke er behov for en egen foreldelsesfrist men uttaler at hvis det settes frist, bør denne ikke være kortere enn fem år.
20.5 Departementets vurdering
20.5.1 Hvilke overtredelser skal kunne sanksjoneres med overtredelsesgebyr?
Forordningen artikkel 83 bestemmer hvilke overtredelser som kan sanksjoneres med overtredelsesgebyr, men artikkel 84 åpner for at det i nasjonal rett også kan fastsettes sanksjoner for overtredelse av andre bestemmelser enn de som er underlagt overtredelsesgebyr etter artikkel 83. Departementet foreslår med hjemmel i forordningen artikkel 84 at også artikkel 10 og 24 skal kunne sanksjoneres med overtredelsesgebyr, og at artikkel 83 nr. 4 gis tilsvarende anvendelse i disse tilfellene, se lovforslaget § 26 første ledd.
Etter departementets vurdering er det behov for at Datatilsynet kan ilegge overtredelsesgebyr ved overtredelse av artikkel 10 og 24. Departementet viser til at en rekke høringsinstanser har støttet forslaget i høringsnotatet. Departementet viser til at Datatilsynet flere ganger har ilagt overtredelsesgebyr for overtredelse av personopplysningsloven § 14 om internkontroll, som er parallellen til artikkel 24 i någjeldende personopplysningslov. Departementet mener Datatilsynet også bør kunne ilegge gebyr for overtredelse av artikkel 10, som gir regler om behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, og fastsetter at slik behandling bare kan utføres under en offentlig myndighets kontroll eller dersom det er tillatt i henhold til EU-lovgivning eller nasjonal rett. Bestemmelsen tilsvarer delvis någjeldende personopplysningslov § 10 som etter gjeldende rett kan sanksjoneres med overtredelsesgebyr.
20.5.2 Overtredelsesgebyr ved overtredelse av særlovgivningen
Departementet foreslår i proposisjonen her ingen egne bestemmelser om overtredelsesgebyr for overtredelser av regler om behandling av personopplysninger i særlovgivningen. Regler om dette ble heller ikke foreslått i høringsnotatet. Departementet viste i høringsnotatet til at behandling som er i strid med bestemmelser i særlovgivningen, i mange tilfeller også vil utgjøre en overtredelse av bestemmelser i forordningen og derfor vil kunne sanksjoneres som overtredelse av forordningen. I slike tilfeller vil det være unødvendig å gi egne hjemler for overtredelsesgebyr i særlovgivningen.
20.5.3 Overtredelsesgebyr mot offentlige myndigheter
Departementet foreslår en bestemmelse om at Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr, se lovforslaget § 26 annet ledd. Forslaget er identisk med forslaget i høringsnotatet. Departementet viser til at Datatilsynet i flere saker har ilagt administrative gebyrer mot offentlige organer, og departementet kan ikke se noen grunn til å ikke videreføre en slik adgang for Datatilsynet. Departementet viser også til at høringsinstansene generelt har vært positive til at overtredelsesgebyr skal kunne ilegges mot offentlige myndigheter.
En adgang for Datatilsynet til å ilegge overtredelsesgebyr mot offentlige myndigheter på samme måte som mot private, innebærer en videreføring av gjeldende rett. Forslaget i proposisjonen her innebærer likevel en forskjell i forhold til gjeldende rett ved at den beløpsmessige grensen for overtredelsesgebyrene som kan ilegges med hjemmel i forordningen og lovforslaget her, er vesentlig høyere enn etter gjeldende rett. Enkelte offentlige høringsinstanser har på denne bakgrunn tatt til orde for at overtredelsesgebyret som kan ilegges mot offentlige myndigheter, bør begrenses beløpsmessig, mens én høringsinstans tar til orde for at offentlige myndigheter ikke bør kunne ilegges overtredelsesgebyr overhodet.
Etter departementets vurdering bør som utgangspunkt de samme reglene for overtredelsesgebyr gjelde for offentlige organer som for private, da dette er ordningen etter gjeldende personopplysningslov. Departementet har notert seg bekymringen som enkelte offentlige høringsinstanser har uttrykt, men departementet legger til grunn at det innenfor reglene i forordningen artikkel 83, som også angir de momenter det skal legges vekt på ved utmålingen av administrative gebyrer, ligger rom for et betydelig skjønn med hensyn til størrelsen på gebyret. Beløpsgrensene i forordningen artikkel 83 angir maksimalgrenser for utmåling av administrative gebyrer, mens det ikke er fastsatt noen minimumsgrenser.
20.5.4 Saksbehandlingsregler ved overtredelsesgebyr
Departementet foreslår en bestemmelse om at oppfyllelsesfristen for overtredelsesgebyr er fire uker fra vedtaket er endelig, se lovutkastet § 27 første ledd. Forslaget er identisk med forslaget i høringsnotatet og innebærer en videreføring av gjeldende rett etter någjeldende personopplysningslov § 46 tredje ledd. Blant høringsinstansene har Regnskap Norge tatt til orde for at det bør kunne fastsettes en lengre frist i vedtaket eller senere. Departementet mener det er hensiktsmessig å videreføre gjeldende rett på dette punkt og viser til at ingen av høringsinstansene for øvrig har hatt innvendinger mot dette.
Departementet foreslår ingen ytterligere saksbehandlingsregler i proposisjonen her, og det ble heller ikke foreslått noen ytterligere saksbehandlingsregler i høringsnotatet.
20.5.5 Domstolsprøving og inndriving
Departementet foreslår at det gis en bestemmelse om at domstolen kan prøve alle sider av saken, og avsi realitetsdom dersom den finner det hensiktsmessig og forsvarlig, se lovforslaget § 27 annet ledd. Bestemmelsen er en videreføring av gjeldende rett, og ingen høringsinstanser har hatt innsigelser mot bestemmelsen.
Departementet foreslår å ikke videreføre bestemmelsen om tvangskraft i personopplysningsloven 47 a, da det nå følger av tvangsfullbyrdelsesloven § 7-2 første ledd bokstav d at administrativ sanksjon truffet av offentlig myndighet med hjemmel i lov anses som tvangsgrunnlag for utlegg.
20.5.6 Foreldelse
Departementet foreslår at det gis en bestemmelse om foreldelse av adgangen til å ilegge overtredelsesgebyr, se lovforslaget § 28. Departementet foreslår at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.
Departementet viser til at høringsinstansene generelt har støttet at det gis regler om foreldelse av adgangen til å ilegge overtredelsesgebyr. Høringsinstansene har vært delt i synet på foreldelsesfristen lengde, men en rekke høringsinstanser har trukket frem reguleringen i konkurranseloven som en mulig modell for foreldelsesregler i personopplysningsloven. Foreldelsesfristen i konkurranseloven er på henholdsvis fem og ti år for forskjellige overtredelser. En rekke høringsinstanser har imidlertid tatt til orde for en kortere foreldelsesfrist. Departementet mener foreldelsesfristen for overtredelse av personopplysningsloven bør være fem år. Departementet har ikke funnet grunn til å differensiere mellom forskjellige overtredelser for så vidt gjelder foreldelsesfristens lengde.